Självstudie: Konfigurera Bedrägeriskydd i Microsoft Dynamics 365 med Azure Active Directory B2C

I den här självstudien lär du dig att integrera Microsoft Dynamics 365 Fraud Protection (DFP) med Azure Active Directory (AD) B2C.

Microsoft DFP ger organisationer möjlighet att utvärdera risken för försök att skapa bedrägliga konton och inloggningar. Microsoft DFP-utvärdering kan användas av kunden för att blockera eller utmana misstänkta försök att skapa nya falska konton eller kompromettera befintliga konton.

Det här exemplet visar hur du införlivar slutpunkterna för MICROSOFT DFP-enhetsavtryck och skapande av konto och API för inloggningsbedömning i en anpassad Azure AD B2C princip.

Förutsättningar

För att komma igång behöver du:

Scenariobeskrivning

Microsoft DFP-integrering innehåller följande komponenter:

  • Azure AD B2C: Autentiserar användaren och fungerar som en klient för Microsoft DFP. Är värd för ett fingeravtrycksskript som samlar in identifierings- och diagnostikdata för varje användare som kör en målprincip. Senare blockerar eller står inför inloggnings- eller registreringsförsök baserat på resultatet av regelutvärderingen som returneras av Microsoft DFP.

  • Anpassade gränssnittsmallar: Används för att anpassa HTML-innehållet på de sidor som återges av Azure AD B2C. Dessa sidor innehåller javaScript-kodfragmentet som krävs för Microsoft DFP-fingeravtryck

  • Microsoft DFP-fingeravtryckstjänst: Dynamiskt inbäddat skript som loggar enhettelemetri och självinfogade användarinformation för att skapa ett unikt identifierbart fingeravtryck som användaren kan använda senare i beslutsprocessen.

  • Microsoft DFP API-slutpunkter: Ger beslutsresultatet och godkänner en slutlig status som återspeglar den åtgärd som utförs av klientprogrammet. Azure AD B2C kommunicerar direkt med Microsoft DFP-slutpunkterna med hjälp REST API anslutningsappar. API-autentisering sker via ett client_credentials till den Azure AD-klientorganisation där Microsoft DFP licensieras och installeras för att hämta en innehavartoken.

Följande arkitekturdiagram visar implementeringen.

Bild som visar diagram över arkitekturen för bedrägeriskydd i Microsoft Dynamics365

Steg Description
1. Användaren kommer till en inloggningssida. Användare väljer registrering för att skapa ett nytt konto och anger information på sidan. Azure AD B2C samlar in användarattribut.
2. Azure AD B2C anropar Microsoft DFP API och skickar vidare användarattributen.
3. När Microsoft DFP API använder informationen och bearbetar den returneras resultatet till Azure AD B2C.
4. Azure AD B2C tar emot information från Microsoft DFP API. Om ett felsvar visas visas ett felmeddelande för användaren. Om svaret Lyckades visas autentiseras användaren och skrivs till katalogen.

Konfigurera lösningen

  1. Skapa ett Facebook-program som konfigurerats för att tillåta federation att Azure AD B2C.
  2. Lägg till Facebook-hemligheten som du skapade Identity Experience Framework en principnyckel.

Konfigurera ditt program under Microsoft DFP

Konfigurera din Azure AD-klientorganisation att använda Microsoft DFP.

Konfigurera din anpassade domän

I en produktionsmiljö måste du använda en anpassad domän för Azure AD B2C för Microsoft DFP-fingeravtryckstjänsten. Domänen för båda tjänsterna ska finnas i samma DNS-rotzon för att förhindra webbläsarens sekretessinställningar från att blockera cookies mellan domäner, är inte nödvändigt i en icke-produktionsmiljö.

Här är ett exempel:

Miljö Tjänst Domain
Utveckling Azure AD B2C contoso-dev.b2clogin.com
Utveckling Microsoft DFP-fingeravtryck fpt.dfp.microsoft-int.com
UAT Azure AD B2C contoso-uat.b2clogin.com
UAT Microsoft DFP-fingeravtryck fpt.dfp.microsoft.com
Produktion Azure AD B2C login.contoso.com
Produktion Microsoft DFP-fingeravtryck fpt.login.contoso.com

Distribuera gränssnittsmallarna

  1. Distribuera de tillhandahållna Azure AD B2C ui-mallarna till en offentlig Internetvärdtjänst, till exempel Azure Blob Storage.

  2. Ersätt värdet med https://<YOUR-UI-BASE-URL>/ rot-URL:en för distributionsplatsen.

Anteckning

Du behöver senare bas-URL:en för att konfigurera Azure AD B2C principer.

  1. I filen ui-templates/js/dfp.js ersätter du med <YOUR-DFP-INSTANCE-ID> ditt Instans-ID för Microsoft DFP.

  2. Kontrollera att CORS är aktiverat Azure AD B2C ditt domännamn https://{your_tenant_name}.b2clogin.com eller your custom domain .

Mer information finns i dokumentationen om anpassning av användargränssnitt.

Azure AD B2C konfiguration

Lägga till principnycklar för ditt Microsoft DFP-klientapp-ID och din hemlighet

  1. I Azure AD-klienten där Microsoft DFP har ställts in skapar du ett Azure AD-program och beviljar administratörsmedgivande.
  2. Skapa ett hemligt värde för den här programregistreringen och anteckna programmets klient-ID och värde för klienthemlighet.
  3. Spara värdena för klient-ID och klienthemlighet som principnycklar i Azure AD B2C klientorganisationen.

Anteckning

Du kommer senare att behöva principnycklarna för att konfigurera Azure AD B2C principer.

Ersätt konfigurationsvärdena

I de anpassade principernahittar du följande platshållare och ersätter dem med motsvarande värden från din instans.

Platshållare Ersätt med Kommentarer
{Inställningar:P roduktion} Om du vill distribuera principerna i produktionsläge true eller false
{Inställningar:Tenant} Kortnamnet för din klientorganisation your-tenant – från your-tenant.onmicrosoft.com
{Inställningar:D eploymentMode} Program Insights distributionsläge som ska användas Production eller Development
{Inställningar:D eveloperMode} Om du vill distribuera principerna i Insights-utvecklarläge true eller false
{Inställningar:AppInsightsInstrumentationKey} Instrumenteringsnyckel för din Application Insights instans* 01234567-89ab-cdef-0123-456789abcdef
{Inställningar:IdentityExperienceFrameworkAppId} App-ID för identityExperienceFramework-appen som konfigurerats i din Azure AD B2C klientorganisation 01234567-89ab-cdef-0123-456789abcdef
{Inställningar:P roxyIdentityExperienceFrameworkAppId} App-ID för proxyidentityExperienceFramework-appen som konfigurerats i din Azure AD B2C klientorganisation 01234567-89ab-cdef-0123-456789abcdef
{Inställningar:FacebookClientId} App-ID för Facebook-appen som du konfigurerade för federation med B2C 000000000000000
{Inställningar:FacebookClientSecretKeyContainer} Namnet på principnyckeln där du sparade Facebooks apphemlighet B2C_1A_FacebookAppSecret
{Inställningar:ContentDefinitionBaseUri} Slutpunkt där du distribuerade UI-filerna https://<my-storage-account>.blob.core.windows.net/<my-storage-container>
{Inställningar:D fpApiBaseUrl} Bassökvägen för din DFP API-instans – finns i DFP-portalen https://tenantname-01234567-89ab-cdef-0123-456789abcdef.api.dfp.dynamics.com/v1.0/
{Inställningar:D fpApiAuthScope} Det client_credentials omfånget för DFP API-tjänsten https://api.dfp.dynamics-int.com/.default or https://api.dfp.dynamics.com/.default
{Inställningar:D fpTenantId} ID för Azure AD-klientorganisationen (inte B2C) där DFP är licensierat och installerat 01234567-89ab-cdef-0123-456789abcdef eller consoto.onmicrosoft.com
{Inställningar:D fpAppClientIdKeyContainer} Namnet på den principnyckel där du sparar DFP-klient-ID:t B2C_1A_DFPClientId
{Inställningar:D fpAppClientSecretKeyContainer} Namnet på den principnyckel där du sparar DFP-klienthemligheten B2C_1A_DFPClientSecret

*Application Insights kan konfigureras i valfri Azure AD-klientorganisation/-prenumeration. Det här värdet är valfritt men rekommenderas för att hjälpa till med felsökning.

Anteckning

Lägg till meddelande om medgivande på attributsamlingssidan. Meddela att användarnas telemetri- och användaridentitetsinformation registreras i kontoskyddssyfte.

Konfigurera Azure AD B2C princip

  1. Gå till Azure AD B2C princip i mappen Principer.

  2. Följ det här dokumentet för att ladda ned LocalAccounts-startpaketet

  3. Konfigurera principen för den Azure AD B2C klientorganisationen.

Anteckning

Uppdatera de principer som tillhandahålls för att relatera till din specifika klientorganisation.

Testa användarflödet

  1. Öppna klientorganisationen Azure AD B2C och under Principer väljer du Identity Experience Framework.

  2. Välj din tidigare skapade SignUpSignIn.

  3. Välj Kör användarflöde och välj inställningarna:

    a. Program: Välj den registrerade appen (exemplet är JWT)

    b. Svars-URL: välj omdirigerings-URL:en

    c. Välj Kör användarflöde.

  4. Gå igenom inloggningsflödet och skapa ett konto

  5. Microsoft DFP-tjänsten anropas under flödet när användarattributet har skapats. Om flödet är ofullständigt kontrollerar du att användaren inte har sparats i katalogen.

Anteckning

Uppdatera regler direkt i Microsoft DFP-portalen om du använder Microsoft DFP-regelmotorn.

Nästa steg

Mer information finns i följande artiklar: